Hallo,
ich fragte mich vorhin, ob man Snort nur zum Loggen von Angriffen bzw. kritischen Zugriffen auf das System einsetzen kann (z.B. in Zusammenhang mit ACID) oder ob man es auch irgendwie zur Abwehr von Angriffen nutzen kann. Gibt es Software, die auf Snort aufbaut und "automatisch" (= nach definierten Regeln) Angriffe versucht abzuwehren? Lohnt sich die Mühe das einzurichten (falls es das gibt)?

Mathis :confused:

snort-inline kann mittels iptables auf Angriffe reagieren.

Grüße
DaGrrr

lohnt sich die Mühe? Gute Frage - es ist immer eine Gradwanderung - mit 'ner schlechten oder flalschen Konfig kann man sehr leicht sich selbst töten - oder ein "Pöser Purche" kann den Mechanismus gezielt ausnutzen umd einen DOS zu fahren.

Ein IPS kann ein bestehenes System sicherer machen - es darf aber mMn. auf keinen Fall zur "wir vertrauen auf Gottes Gnade"-Lösung werden...

es darf aber mMn. auf keinen Fall zur "wir vertrauen auf Gottes Gnade"-Lösung werdenWas meinst Du damit?

ein IDS / IPS darf ein vorhandenes Sicherheitskonzept nur erweitern oder unterstützen, nicht ersetzen.

... mMn. auf keinen Fall zur "wir vertrauen auf Gottes Gnade"-Lösung werden...

ich hab 3 Sekunden gebraucht der Abkürzung einen Sinn zuzuordnen... verrückte Welt, was wäre sie nur ohne die Abkürzungswütigen?!? :ugly: